网闸与防火墙的区别(原理篇).docxVIP

我们先说说下一代防火墙的原理 网络拓扑： 说明：这是一个典型的防火墙组网，防火墙一般常用的功能有：ACL、VPN、IPS、防病毒、DDoS防护等等。 基本处理流程： 数据包从Internet进入防火墙，防火墙经过以下动作： (1)首先匹配ACL进行包过滤，检查是否符合ACL设置的允许规则。 (2)进行严格的状态化监测，主要是TCP/UDP/ICMP协议。 (3)利用已有的IPS规则对数据包内容进行匹配，检查数据包是否合法。 (4)其他略。 产品定位： 部署位置：网络边界 作用：可以防止一些已知威胁，不能保证绝对的安全。 我们再来看看网闸的原理 网络拓扑： 说明：这是一个典型的网闸使用拓扑，在办公网和业务网之间使用网闸进行隔离交换。 基本处理流程： 数据包在办公网和业务网之间交换，以办公网传送数据到业务网为例 （1）办公网的数据首先到达网闸的外网处理单元，被剥离了IP头部只保留原始数据。 （2）通过防病毒、入侵检测模块对原始数据进行检查。 （3）通过预订设置的白名单、过滤规则（文件字、文件名 等）等安全策略进行检查。 （4）通过摆渡芯片（类似U盘的过程），把原始数据传输到内网，由内网处理单元重新封包发给客户端。 产品定位： 部署位置：网络边界（涉密与非涉密、高安全与低安全区域） 作用：防止泄密，按预设的规则进行摆渡数据交换。 产品 网闸 防火墙 硬件 2+1 或3块主板 一块X86主板 部署位置 涉密与非涉密网络边界 高安全与低安全区域边界 服务器前端 1、中小企业网络边缘 解决客户的问题 防止泄密 保证业务网高安全，符合等保制度对网络隔离的要求。 1、主要针对已知攻击进行防护 性能 目前吞吐能到达10G，满足多数应用场景。 比网闸性能高 功能 文件同步、数据库同步（网闸主动发起） 访问功能 Web代理、组播工控协议、数据库访问、邮件交换、文件传输 ACL、NAT、VPN、IPS、防病毒 等等 使用情况 公安、医院、政府、军工、工业、城管、其他有隔离交换需求的地方。 企业用户 总结： 通过以上原理说明和对比，不难发现两个产品的定位是不同的，不存在网闸和防火墙区别是什么的问题，因为两种产品本身就是不同东西，他们为解决客户不同的问题而生，不存在替代性关系，一个机构的安全既需要防火墙也需要网闸，只有系统性的设计规划网络，才能保证业务网和办公网络的安全。